Malwarebytes Endpoint Protection
このバージョンのヘルプが公開された時点では、この機能はリリースされていない可能性があります。
Malwarebytes Endpoint Protection を Sophos Central と統合して、ソフォスでの解析用にデータを送信することができます。
この統合では、仮想マシン (VM) 上にホストされているログコレクタを使用します。それらは共にアプライアンスと呼ばれています。アプライアンスはサードパーティのデータを受信し、Sophos Data Lake に送信します。
注
Malwarebytes Endpoint Protection の複数のインスタンスを同じアプライアンスに追加できます。
これを行うには、Malwarebytes Endpoint Protection 統合を Sophos Central で設定した後、1つのインスタンスがログを送信するように設定します。次に、Malwarebytes Endpoint Protection の他のインスタンスを設定して、この同じソフォスのアプライアンスにログが送信されるようにします。
Sophos Central での設定ステップを繰り返す必要はありません。
主なステップは次のとおりです。
- この製品の統合を設定します。これにより、VM で使用するイメージが設定されます。
- イメージをダウンロードして VM に展開します。これがアプライアンスになります。
- アプライアンスにデータを送信するよう Malwarebytes Endpoint Protection を設定します。
要件
アプライアンスには、システムおよびネットワークアクセス要件があります。要件を満たしているかを確認するには、アプライアンスの要件を参照してください。
統合の設定
Endpoint Protection を Sophos Central と統合するには、次の手順を実行します。
- Sophos Central で、「脅威解析センター > 統合 > マーケットプレイス」に移動します。
-
「Malwarebytes Endpoint Protection」をクリックします。
「Malwarebytes Endpoint Protection」ページが開きます。ここで統合を設定し、既に設定されているすべてのリストを表示できます。
-
「データの取り込み (セキュリティ警告)」で、 「設定の追加」をクリックします。
注
これが統合追加の初回である場合は、内部ドメインと IP の詳細の入力が必要になります。詳細は、ドメインと IP アドレスを参照してください。
「統合手順」が表示されます。
VM の設定
「統合のセットアップ手順」では、Endpoint Protection からデータを受信するように VM をアプライアンスとして設定します。既存の VM を使用することも、新しい VM を作成することもできます。
VM を構成するには、以下の手順に従います。
- 新しい統合の名前と説明を入力します。
-
アプライアンスの名前と説明を入力します。
ソフォスのアプライアンスの統合を既に設定済みの場合は、リストから選択できます。
-
仮想プラットフォームを選択します。現在、VMware ESXi 6.7 Update 3 以降および Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) 以降をサポートしています。
-
「インターネットに接続するネットワークポート」の IP 設定を指定します。これによって、VM の管理インターフェースが設定されます。
-
IP アドレスを自動的に割り当てるには、「DHCP」を選択します。
注
DHCP を選択した場合は、IP アドレスを予約する必要があります。
-
ネットワーク設定を指定するには、「手動」を選択します。
-
-
「Syslog IP バージョン」を選択し、「Syslog IP」アドレスを入力します。
この syslog IP アドレスは、後で、データをアプライアンスに送信するように Endpoint Protection を設定する際に必要になります。
-
「プロトコル」を選択します。
データをアプライアンスに送信するように Endpoint Protection を設定する際には、同じプロトコルを使用する必要があります。
-
「保存」をクリックします。
統合が作成され、リストに表示されます。
統合の詳細に、アプライアンスのポート番号が表示されます。これは、後で、それにデータを送信するように Endpoint Protection を設定する際に必要になります。
VM イメージの準備が完了するまで、数分かかることがあります。
VM の展開
制限事項
ESXi を使用している場合、OVA ファイルは Sophos Central で検証されるため、一度のみ使用できます。別の VM を導入する必要がある場合は、Sophos Central で OVA ファイルを再作成する必要があります。
VM ファイルを使用して VM を導入します。これには、次の手順を実行します。
- 統合のリストの「アクション」で、「OVA のダウンロード」など、プラットフォームのダウンロードアクションをクリックします。
- イメージのダウンロードが完了したら、VM に導入します。詳細は、統合用の VM の導入を参照してください。
Endpoint Protection の構成
Endpoint Protection は、次のようにイベントデータを取得して転送します。
- エンドポイントは、脅威検出、隔離、およびその他のイベントを MalwareBytes Endpoint Protection に報告します。
- Malwarebytes syslog コミュニケータのエンドポイントは、Malwarebytes Endpoint Protection からイベントをプルします。
- 通信エンドポイントは、CEF 形式で syslog サーバーにイベントを転送します。
アプライアンスは syslog サーバーとして動作します。
はじめに
次が必要です。
-
次のいずれかの Malwarebytes Endpoint Protection プラットフォーム製品のアクティブなサブスクリプションまたはトライアル:
- Malwarebytes Endpoint の検出と対応
- Malwarebytes Endpoint Protection
- Malwarebytes インシデント対応
-
アプライアンスの IP アドレス。
- Malwarebytes syslog 通信エンドポイントの 1 つと SIEM または syslog サーバー間のネットワークアクセスです。デフォルトでは、TCP over port 514 が使用されます。
設定
- 「設定 > Syslog ログ」に移動します。
- 「追加」 > [Syslog 設定」をクリックします。
-
アプライアンスに関する次の情報を入力します。
- IP アドレス/ホスト: 仮想マシンの IP アドレスまたはホスト名。
- ポート: 仮想マシンのポートです。
-
プロトコル: TCP または UDP プロトコルを選択します。
統合を追加した際に Sophos Central で入力した設定と同じ設定を入力する必要があります。
-
重要度: リストから重要度を選択します。これにより、syslog に送信されるすべての Malwarebytes イベントの重要度が決定されます。
- 通信間隔: 通信エンドポイントが Malwarebytes サーバーから syslog データを収集する頻度を分単位で決定します。
エンドポイントが Malwarebytes に接続できない場合、過去 24 時間のデータをバッファします。24 時間以上経過したデータは送信されません。
-
「保存」をクリックします。
- 「エンドポイント」に移動します。
- 仮想マシンをクリックします。
「エージェント情報」セクションに SIEM のバージョン番号が表示されます。これにより、SIEM プラグインがエンドポイントでアクティブになっていることが確認されます。
これで、エンドポイントからアプライアンスにデータが送信されるようになります。検証後、Sophos Data Lake に表示されます。
syslog 設定の変更
アプライアンスの変更が必要な場合は、次の手順を実行します。
- 「設定 > Syslog ログ」に移動します。
- 「削除」をクリックして、仮想マシンをデモートします。
- 「追加」をクリックして 、新しい仮想マシンをプロモートします。「設定」セクションの手順を参照してください。
オン/オフ切り替えを使用すると、通信エンドポイントを一時的にデモートできます。通信エンドポイントの一時的なデモートは、syslog 設定のトラブルシューティングにも役立ちます。